【編者按】勒索軟件的威脅越來越大，政策制定者和美國企業界都在為如何應對這一威脅而絞盡腦汁。然而，勒索贖金本身不是什么新鮮事，事實上，美國在這一問題上有著長期痛苦的困擾歷史。美國空軍學院的丹妮爾·吉爾伯特（Danielle Gilbert）在研究勒索軟件時受到啟發，借鑒劫持人質的處置歷史，以確定處理勒索軟件問題的方法。

　　“等等，是只有我這么想，還是過去每兩個月就會有一次大規模勒索軟件攻擊？”在最近一期的《上周今夜秀》（Last Week Tonight）節目中，主持人約翰·奧利弗（John Oliver）直面了勒索軟件事件的明顯激增。這些攻擊已經出現了20年，包括用惡意軟件感染智能手機或電腦等數字設備，并對數據進行加密和/或施加威脅，直到支付贖金。但隨著行兇者瞄準了關鍵的基礎設施，并大幅增加了他們的要求，他們最近已經達到了狂熱的程度。僅在今年，勒索軟件襲擊就破壞了美國最大的石油管道和肉類加工廠，該加工廠生產了美國五分之一的牛肉；一個勒索軟件團伙實施了有記錄以來規模最大的攻擊，要求在17個國家花費7000萬美元來解密設備。針對醫院系統和地方政府的攻擊具有破壞性，但這種攻擊很常見。軟件公司Emsisoft報告稱，2020年，美國有2354個地方政府、醫療機構和學校受到勒索軟件的攻擊——這個數字幾乎可以肯定被嚴重低估了。

　　勒索軟件可能是新的，但劫持人質不是。幾十年來（如果不是幾百年的話），美國一直面臨著人質問題。從巴巴里海盜到鮑·貝里達爾，人質危機吸引了媒體的極大關注，并從根本上改變了美國的政策。在上世紀70年代的大使館事件和劫機浪潮之后很久，劫持人質的暴力事件仍然是國際安全領域的一個棘手問題。據美國聯邦調查局（FBI）跨部門的人質恢復融合小組（Hostage Recovery Fusion Cell）前負責人說，“美國公民在國外被綁架的事件每周都有發生。”

　　過去半個世紀的劫持人質事件為理解和應對勒索軟件攻擊提供了寶貴的經驗。這兩種脅迫形式之間的相似之處，可以告訴我們很多關于其中的動態變化。美國人質解救政策的成功和失敗可以幫助評估針對這一新威脅的政策選擇。

　　傷害的力量

　　劫持人質和勒索軟件都是脅迫策略，利用囚禁來要求讓步。雖然不是嚴格意義上的劫持人質——沒有人被劫持——勒索軟件強調了托馬斯·謝林所說的“傷害的力量”。它要求目標為了防止未來的痛苦而做出讓步。

　　劫持人質和勒索軟件攻擊都創造了一種雙邊壟斷：一個只有一個賣家（犯罪者）和一個買家（目標）的虛假市場。因此，犯罪者可以利用其固有的價格敏感性，提出過高的要求，并期望得到滿足，將贖金提高到數千萬美元。沒錯，這些攻擊有助于賺錢，但也會凸顯系統中的漏洞或令對手難堪。像美國女繼承人帕蒂·赫斯特和哥倫比亞總統候選人英格麗德·貝當古這樣的著名人質吸引了人們對綁架他們的人的注意，并挑戰了國家對暴力的壟斷。

　　這些著名的案件表明，劫持者是為了獲得公眾的關注——很多人確實是這樣做的。但絕大多數劫持人質和勒索軟件攻擊都是秘密發生的。目標可能希望避免因看起來不安全而造成的聲譽損失。他們也可能避免公開，這樣他們就可以做出讓步而不用擔心遭到報復。一些臭名昭著的綁架熱點地區已經實施了法律約束機制，以阻止目標支付贖金，希望從總體上抑制劫持人質的積極性，并減少其發生的頻率。例如，在哥倫比亞和意大利，當家庭向執法部門報告綁架事件時，反綁架立法將凍結其資產。這樣的政策削弱了報道的積極性。

　　此外，國家和非國家行為者都可以劫持人質或使用勒索軟件。雖然綁架傳統上是犯罪和政治武裝組織的職權范圍，但包括中國、朝鮮、土耳其和伊朗在內的國家都開展了人質外交——在法律的幌子下劫持外國人作為籌碼。一些州通過為囚禁者提供安全的避難所來寬恕人質劫持。這些國家保護是勒索軟件攻擊的主要驅動力，因為俄羅斯保護（或許雇傭）黑客在海外犯下這些罪行。

　　在所有這些方面，勒索軟件類似于過去的劫持人質暴力。近年來，為了盈利而惡意控制數據的行為已經危及到人類的生命。對關鍵基礎設施的攻擊突顯了數字攻擊在現實世界中的表現；對醫院系統的攻擊可能致命。隨著勒索軟件越來越接近將人作為人質，其創新使其更難防范。

　　勒索軟件的不同之處

　　勒索軟件是由新技術推動的一系列劫持人質范式轉變中的最新一例。例如，20世紀中期商業航空旅行的增長助長了20世紀60年代和70年代的飛機劫持浪潮。21世紀初，智能手機和便攜式互聯網技術的興起，推動了劫持人質從公眾轉向秘密行動。能夠在相對安全的位置制作和傳播引人注目的暴力人質視頻，意味著行兇者不再需要通過談判找到出路，或在死亡中掙扎。

　　兩項新的技術變化使得勒索軟件對犯罪者特別有吸引力，而對目標卻沒有相應的好處。

　　首先，加密貨幣使支付贖金變得安全和容易。在加密貨幣出現之前，綁匪通過“投遞”（目標在綁匪選擇的時間和地點交付商定的金額）來收取贖金。這一下降對綁架者來說是危險的，因為它可能為執法部門追蹤或抓獲罪犯提供機會。傳統的電匯也被證明是有風險的，因為這樣的交易很容易被追蹤。但用加密貨幣支付贖金，通過消除支付的物理和信息風險，解決了犯罪者的兩個問題。加密貨幣的數字化、不受監管和很大程度上匿名的性質，使它們對犯罪者非常有用。

　　第二，“惡意軟件即服務”使得每一次劫持人質都不需要技術嫻熟的專業團隊。從阿富汗到安娜堡，劫持者很少單獨行動。劫持人質陰謀中最一致的元素之一是10-15名罪犯小組的角色分工，不同的角色負責收集目標的情報、實施綁架、保護組織和談判人質的釋放。隨著現成的勒索軟件和惡意軟件服務被廣泛購買，這種動態發生了戲劇性的變化。換句話說，幾乎任何人都可以進行勒索軟件攻擊，無論他們是否擁有相關技能和知識。惡意軟件即服務的泛濫使得人們在使用它們之前不需要學習特殊技能，這就招致了“獨狼”來造成巨大的破壞。

　　美國人質政策的教訓

　　在過去的50年里，遏制劫持人質的努力采取了不同的方法，效果各不相同。隨著白宮成立了一個新的勒索軟件特別工作組，并向企業和社區發布資源，有關懲罰的熟悉辯論又重新浮出水面。過去阻止劫持人質的努力可以為未來的勒索軟件之戰提供寶貴的教訓。

　　第一種方法是采取一切可能的措施，從一開始就防止勒索軟件。無數的文章都提供了同樣簡單明了的勒索軟件預防措施列表：劃分網絡、維護備份、安裝安全更新、安全密碼、實施多因素身份驗證，并對團隊進行網絡安全措施培訓。這個建議是一致的和多產的，但采用率很低。

　　不幸的是，歷史表明，預防措施是很難實現的，只有在回顧的時候才顯得明顯。在20世紀60年代和70年代，每5天半就有一架飛機被劫持。然而，商業航空公司不愿對乘客實施新的安全和檢查措施，擔心不便會影響業務。在這種情況下，劫機事件持續不斷，直到20世紀80年代航空公司開始對行李進行x光檢查。機場安檢并不好玩，但它在很大程度上使劫機事件成為了過去。

　　第二種方法是執法人員和安全人員所說的“拒絕福利”——旨在阻止犯罪者享受其勞動成果的政策和策略。這可能意味著，例如，確保劫持者收到用偽造貨幣支付的贖金，或在劫持者消費之前收回資金。

　　“不讓步”政策也是為了拒絕向劫持者提供福利。這些政策假設行兇者知道哪些目標不會付錢，并在未來停止攻擊他們。現有的研究表明，這確實是昨天支付贖金的目標比那些拒絕贖金的目標更有可能在明天被綁架。這就是呼吁將向網絡罪犯支付贖金定為非法的背后邏輯，包括在這個網站上發表的有見地和創造性的選擇。（例如，支付贖金可以免稅，這似乎特別令人震驚。）

　　然而，考慮到他們的過往記錄，這些政策既不明智，也不太可能孤立地遏制勒索軟件攻擊，原因有三個。

　　首先，將勒索軟件付款定為非法將意味著美國目前的贖金政策發生巨大變化。盡管眾所周知美國奉行“不讓步”政策，但現行法律只禁止向美國指定的外國恐怖組織（FTO）支付贖金。在撰寫本文時，美國政府、企業或公民個人向任何其他人質劫持者支付贖金都是完全合法的——無論是外國的還是國內的罪犯、非fto武裝組織，甚至是國家。我們依靠這些款項將數百名在國外被綁架的美國人帶回家。只有在虛擬的情況下才將贖金定為非法，這與美國現行法律不一致，可能會迫使美國幾十年來的政策進行清算。

　　其次，完全禁止支付不太可能奏效，因為當他們所愛的人的生命（或他們的數據）受到威脅時，個人目標總是有欺騙的動機。在國家層面，這也可能產生有害影響。正如我在其他地方寫的：

　　2007年，八國集團領導人同意“杜絕”向恐怖組織支付贖金。然而，在隨后的十年里，一些八國集團領導人向基地組織和伊斯蘭國提供了數億美元的贖金。當一個罪犯挾持來自政策不同的國家的人質時，這尤其具有破壞性。例如，伊斯蘭國的法國、德國、意大利和西班牙人質被釋放，美國和英國人質被殘忍殺害。這種不理想的法律制度拼湊，其中一些國家“采取強硬立場，另一些國家愿意對話”，表明了協調威懾的緊迫性。

　　第三，懲罰目標（而不是犯罪者）可能導致巨大的政治反彈。在美國，通過執行物質支持法規第2339（B）條，向FTO支付贖金是非法的：支付恐怖分子的贖金包括對恐怖組織的物質支持。實際上，這意味著告訴家人，拯救他們所愛的人就等于資助未來的恐怖主義。2014年，被伊斯蘭國俘虜的詹姆斯·弗利（James Foley）、史蒂文·索特洛夫（Steven Sotloff）、彼得·卡西格（Peter Kassig）和凱拉·穆勒（Kayla Mueller）的父母請求白宮營救他們被囚禁的孩子，這一事件達到了頂點。幸存下來的弗利夫婦告訴ABC新聞，他們曾多次受到白宮國家安全委員會（National Security Council）一名軍官和一名國務院官員的威脅：付錢，你就會被當作罪犯起訴。

　　將這種動態轉化為勒索軟件，很容易想象威脅或懲罰同情的犯罪受害者會引發嚴重的政治反彈。隨著目標從科技公司轉移到關鍵基礎設施，生命將岌岌可危。在讓受害者承擔停止這些襲擊的責任之前，政策制定者應該三思而后行。

　　相反，反勒索軟件政策應該把重點放在懲罰犯罪者上。一些現有的人質回收政策通過專門的單位直接打擊罪犯，目的是破壞劫持人質的襲擊。在美國，這看起來像是聯邦調查局的人質救援隊和兩個軍事特種部隊——陸軍的三角洲部隊和海軍的海豹突擊隊——他們無情地訓練以擾亂世界各地的人質危機。在哥倫比亞，警察和軍隊的專門部門都專門負責劫持人質；他們被認為是過去20年哥倫比亞綁架事件大幅減少的原因。

　　最近的消息表明，即將到來的打擊行動已經對罪犯產生了影響，但還需要做更多的工作。白宮已經推進了一些加強網絡安全的舉措，包括一個勒索軟件工作組、一個強調預防資源的網站，以及“正義獎勵”（Rewards for Justice）計劃。但如果不對FBI的調查和干預能力進行認真投資，犯罪者將繼續攻擊我們當中最不安全的地方。

　　在缺乏明確和一致的政策的情況下，對劫持人質的反應突出了制定減輕傷害技術的重要性。一個強大的人質應對行業——包括綁架和贖金保險代理人和私人人質談判人員——帶來了技能、經驗和準則，以規范市場。他們的作用主要集中在承擔綁架目標的成本，減輕傷害，促進人質的恢復，同時使襲擊花費更多的時間，降低行兇者的利潤。

　　緩解傷害的兩種方法似乎是有希望的。

　　首先，專業的人質談判專家建議目標永遠不要支付最初的贖金要求，而是反擊并談判一個更低的價格。劫持者通常要求的錢比他們預期的要多；當目標立即付款時，施暴者會認為他們要求的還不夠。至少，提出一個可信的還價可能會抑制勒索軟件需求的指數級增長。

　　其次，在現實世界中劫持人質代價高昂：罪犯必須有足夠的資源在囚禁期間為他們的囚犯提供食物、衣服和藏身，同時保護他們的組織免受反叛亂或警察的迫害。在數字領域運營（并且有俄羅斯的安全港），這樣的成本不太可能轉化。但拖延戰術可能會為執法部門提供更大的干預機會，或讓目標找到替代方案來恢復他們的數據。時間或其他因素增加犯罪者的成本，可以減輕對受害者的傷害。

　　近年來，決策者通過立法并建立了跨部門的努力，直接和全面地解決劫持人質問題。對勒索軟件的同等關注必須在各方面發揮作用：增強FBI追蹤和追回贖金的能力；面對加密貨幣和俄羅斯安全港的挑戰；確保最脆弱的衛生、能源、糧食、水、交通和應急部門免受攻擊。如果不這樣做，未來就有可能成為人質。